Muitos falsos positivos são gerados quando a opção de filtragem de spam avançada "registro SPF: falha de hardware" é habilitada

Observação

O Office 365 ProPlus está sendo renomeado como Microsoft 365 Apps para empresas. Para obter mais informações sobre essa mudança, leia esta postagem de blog.

Número do KB original:   3089691

Problema

O registro SPF avançado de filtragem de spam (ASF) : falha de hardware gera muitos falsos positivos para usuários que têm a opção habilitada.

Captura de tela da opção registro SPF: falha grave

Motivo

Esse problema ocorre por uma das seguintes razões:

  • O registro MX principal do seu domínio não aponta para o Exchange Online Protection (EOP)

    O domínio de uma organização cujo registro MX aponta para EOP semelhante ao seguinte. (O registro MX contém "mail.protection.outlook.com".)

    contoso.com. IN MX 10 contoso-com.mail.protection.outlook.com

    Um registro MX para um domínio cujo registro MX principal não aponta para EOP parecida com o seguinte. (O registro MX não contém "mail.protection.outlook.com".)

    fabrikam.com. IN MX 10 mail.fabrikam.com

    Ou, o domínio pode ter EOP como um registro MX secundário. (O número no registro MX indica sua prioridade. Números altos indicam prioridade mais baixa. Isso significa que o email é encaminhado primeiro para o registro MX que tem o número menor e que as novas tentativas são feitas em números mais altos subsequentemente.) Considere o seguinte exemplo:

    fabrikam.com. IN MX 10 mail.fabrikam.com.
    fabrikam.com. IN MX 100 contoso-com.mail.protection.outlook.com.
    

    Em ambos os casos, o fabrikam.com roteia o email para seu servidor de email local primeiro (ou por meio de um filtro de email hospedado por terceiros) e roteia o email para o EOP usando conectores ou encaminhamento de emails internos do seu servidor de email local.

    A mensagem atravessa o seguinte caminho da Internet para a caixa de correio:

    Captura de tela que mostra o caminho da mensagem da Internet para a caixa de correio

    No EOP, a verificação SPF é executada no endereço IP 2. (Este é o endereço IP de retransmissão do servidor de email local.) No entanto, a verificação do SPF deve ter sido executada no endereço IP 1. (Este é o endereço IP de conexão original.) Como o EOP usa o endereço IP 2 em vez do endereço IP 1, qualquer domínio que publique uma falha de hardware do SPF falhará no SPF e será marcado incorretamente como spam. Isso ocorrerá mesmo se o domínio tiver passado originalmente o SPF se as mensagens tiverem sido enviadas primeiro pelo EOP e, em seguida, para o servidor de email local.

    Isso ocorrerá se o registro MX apontar para os servidores de email locais ou para um serviço de filtragem de email hospedado por terceiros.

  • O email é roteado para fora do EOP e, em seguida, de volta para o EOP

    Algumas organizações encaminham emails por meio do EOP, depois para um servidor de email local ou serviço de filtragem de terceiros e, em seguida, novamente de volta pelo EOP. Nesse caso, o registro MX primário do domínio aponta para EOP. O email é retransmitido para um servidor de email local por meio de conectores de saída e de volta para o EOP por meio de conectores ou mesmo através de roteamento baseado em MX.

    Captura de tela do caminho da mensagem da Internet para o EOP

    A maneira típica de fazer isso é através do roteamento de controle de email centralizado se o servidor de email local for um servidor Exchange. Se o servidor de email local não for um servidor Exchange, a versão local de um conector é usada ou o email é retransmitido usando o roteamento baseado em MX.

    Se um conector é configurado de EOP para o servidor de email local e, se o conector estiver configurado corretamente do servidor de email local de volta para o EOP, o veredicto de spam anterior será reutilizado e filtrado de acordo quando a mensagem for retransmitida para EOP.

    No entanto, se os conectores de saída e de entrada do EOP não estiverem configurados corretamente, a mensagem será verificada novamente. A verificação SPF original que usa o endereço IP 1 estará correta. No entanto, a segunda verificação SPF (a verificação que usa o endereço IP 3) ficará incorreta e esta é a verificação do SPF que é usada na segunda verificação de spam. Qualquer domínio de envio que publique uma falha de disco rígido do SPF será marcado como spam independentemente de a primeira verificação estar correta, e isso leva a resultados de filtragem incorretos (ou seja, falsos positivos).

Solução

O Microsoft Exchange Online resolve automaticamente as duas condições, sem a necessidade de qualquer ação dos clientes. Ele faz isso suprimindo a regra ASF para falha de SPF Hard. No entanto, você pode verificar manualmente se a regra ASF é imposta.

Para fazer isso, execute uma das seguintes ações, conforme apropriado para sua situação:

  • Se o registro MX principal do seu domínio não apontar para o Exchange Online Protection (EOP)

    Certifique-se de que o registro MX primário do domínio aponta para EOP e não para o servidor de email local ou filtro de terceiros.

    Se o registro MX principal do domínio não puder ser apontado para o EOP, o EOP detectará automaticamente quando ele não for o registro MX principal e parará a imposição da opção ASF para falha grave do SPF. Quando o registro MX aponta para o EOP, o serviço detecta isso e começa a impor a opção ASF.

  • Se o email for roteado para fora do EOP e de volta para o EOP

    Certifique-se de que seus conectores estão configurados corretamente para manter os cabeçalhos necessários do EOP para um servidor de email local e, em seguida, do servidor de email local de volta para o EOP. Isso mantém o veredicto de spam original da primeira vez que uma mensagem foi verificada no EOP para que ela seja reutilizada quando enviada de volta para o EOP pela segunda vez.

    Se os conectores necessários não forem criados, o EOP detectará automaticamente quando essa situação ocorrer e interromperá a imposição da opção ASF para falha de SPF. Quando os conectores necessários são criados, o serviço detecta isso e começa a impor a opção ASF.

    Para saber mais sobre esses conectores, confira Configurar o fluxo de email usando conectores no Office 365.

    Para obter mais informações sobre opções de controle de email centralizadas, consulte Opções de transporte em implantações híbridas do Exchange 2013.

Mais informações

Ainda precisa de ajuda? Acesse a Microsoft Community.